スプランクデータモデル制約の条件を追加する方法

Question

私は、App、mem、およびcards apiによって書き込まれたデータを取得するアウトバウンドフローを持っています。カードとmem apiはapplogにログを書き込んでいますが、Appはsyslogにログを書き込んでいます。

私のデータモデルでは、ソースタイプとしてsourcetype = app_logがあります。だから、アプリを除くすべてのフローの場合、私はsplunkダッシュボードレポートを書いていますが、アプリケーションのために私はデータを取得していません。 APIはアプリケーションである よう

は、だから私は、データモデル内の条件を追加する「制約」セクションその後、SOURCETYPE = app_log OR SOURCETYPE = SYS_LOG 他SOURCETYPE = app_log

は誰がどのようにこれを行うために私を助けることができます脾臓？

Answer 1

デュアルソースタイプが必要な場合は、通常、ルート検索/イベントの一部を使用して、データモデルで使用するすべての関連データを描画することをお勧めします。

データモデルは、彫刻の上に木材をはぎ取るようなものなので、通常はすべてのデータから開始して、ゆっくりと見たいものを選んでください。

拘束として| where句を追加できますが、ルートイベントで開始しないとデータを追加できません。

私の提案は、あなたのルート検索でこのようなものになるだろう：

(index=index1 sourcetype=sourcetype1) OR (index=index2 sourcetype=sourcetype2) field=blah field=blah ....